本申请提供了一种网络安全应急响应方法及响应系统,网络安全应急响应方法包括以下步骤:获取原始事件信息;根据原始事件的需要,设置至少一个安全响应节点,安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能;各安全响应节点并行或串行执行其功能;对原始事件信息进行格式化处理,得到结构化输入数据;将得到的结构化输入数据作为安全响应节点的输入,当各安全响应节点串行执行相应功能时,上一级安全响应节点的输出作为当前安全响应节点的输入,用于启动当前安全响应节点,以使各安全响应节点按照预设的顺序顺次执行,自动化地完成安全事件响应。本申请在没有人员干预的情况下能够稳定执行应急响应流程,大幅提供生产力。
Network security emergency response method and response system
【技术实现步骤摘要】
网络安全应急响应方法及响应系统
本申请属于网络安全
,具体涉及一种网络安全应急响应方法及响应系统。
技术介绍
众所周知,在网络安全建设过程中应急响应是不可或缺的重要流程。大量企业和安全公司曾创建过不同类型的应急响应流程,确保组织在发生紧急安全事件时能够积极有序地正确应对,以减少事件带来的损失。然而,随着近几年网络安全态势的严峻化,安全事件频繁爆发。同时,企业组织架构和网络环境日益复杂,过去那些仅仅停留在过程设计层面的应急响应策略已经落后。本申请的专利技术人在研发过程中发现:传统安全事件应急响应流程主要停留在流程图层面,当安全事件发生时,相关人员按照预先制定的应急响应流程图开展响应工作;例如,相关人员通常按照以下流程顺次完成事件响应工作:安全事件发生、判定类型、启动响应流程、通知责任人、识别攻击影响、执行响应策略、封禁攻击IP、对被攻击对象作风险评估和漏洞修复、完成事件响应;表面上看这种流程安排得非常有序,每个环节都有把控,能够应对突发的安全事件;但事实上,在真实的安全事件响应过程中,这种流程几乎很难执行,其主要缺陷是:各环节只有“要做什么”,缺少具体的“要怎么做”。以“封禁一个网络攻击者IP地址”操作为例,现有流程中既不会提到在什么设备上封禁,也很少提在设备上怎么封禁。即使都有提到,但当登录设备时还面临“账号密码认证”、“产品使用熟悉度”、“封禁动作本身的操作时间要求”等问题。这些看似简单的问题,实则是应急响应最后一公里能否执行到位的决定性环节。衡量一个组织的应急响应水平,除了看是否有完备的流程,还要看在安全事件真正发生时组织能否稳定、有序且快速地执行流程。因此,传统应急响应流程的顺利执行严重依赖于人员对应急响应流程的熟悉程度。
技术实现思路
为至少在一定程度上克服相关技术中存在的问题,本申请提供了一种网络安全应急响应方法及响应系统。根据本申请实施例的第一方面,本申请提供了一种网络安全应急响应方法,其包括以下步骤:获取原始事件信息;根据原始事件的需要,设置至少一个安全响应节点,安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能;各安全响应节点并行或串行执行其功能;对原始事件信息进行格式化处理,得到结构化输入数据;将得到的结构化输入数据作为安全响应节点的输入,当各安全响应节点串行执行相应功能时,上一级安全响应节点的输出作为当前安全响应节点的输入,用于启动当前安全响应节点,以使各安全响应节点按照预设的顺序顺次执行,自动化地完成安全事件响应。上述网络安全应急响应方法中,所述各安全响应节点的输入包括执行对象和执行参数,其输出包括状态码和执行结果。上述网络安全应急响应方法中,所述安全响应节点设置有四个,各所述安全响应节点对应设置有杀毒软件、补丁管理服务器、防火墙和资产管理系统。进一步地,各所述安全响应节点并行执行各自功能时,对原始事件信息进行格式化处理,得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据;将各安全响应节点的结构化输入数据分别输入各个安全响应节点,各安全响应节点并行执行。更进一步地,所述资产管理系统安全响应节点的结构化输出数据作为短信网关的输入,由所述短信网关向资产所有人发送提醒信息。进一步地,各所述安全响应节点串行执行各自功能时,对原始事件信息进行格式化处理,得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据;杀毒软件安全响应节点的输出用于启动补丁管理服务器安全响应节点,补丁管理服务器安全响应节点的输出用于启动防火墙安全响应节点,防火墙安全响应节点的输出用于启动资产管理系统安全响应节点。更进一步地,所述资产管理系统安全响应节点的结构化输出数据作为短信网关的输入,由所述短信网关向资产所有人发送提醒信息。根据本申请实施例的第二方面,本申请还提供了一种网络安全应急响应系统,其包括应急响应服务器以及与所述应急响应服务器连接的杀毒软件、补丁管理服务器、防火墙、资产管理系统和短信网关;所述应急响应服务器用于接收原始事件信息并对原始事件信息进行格式化;根据原始事件的需要,所述应急响应服务器将格式化得到的结构化输入数据发送给所述杀毒软件、补丁管理服务器、防火墙或资产管理系统;所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行或串行执行各自的功能。上述网络安全应急响应系统中,当所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行执行各自的功能时,所述杀毒软件根据输入的终端信息和动作内容进行杀毒,执行完毕,输出完成杀毒或查杀失败后结束;所述补丁管理服务器根据输入的终端信息和动作内容进行补丁更新,执行完毕,输出完成更新或更新失败后结束;所述防火墙根据输入的终端信息和动作内容进行隔离,执行完毕,输出完成隔离或隔离失败后结束;所述资产管理系统根据输入的终端信息和动作内容查收资产所有人,输出资产所有人的姓名和电话号码;短信网关根据输入的电话号码和动作内容向资产所有人发送短信通知。上述网络安全应急响应系统中,当所述杀毒软件、补丁管理服务器、防火墙和资产管理系统串行执行各自的功能时,所述杀毒软件、补丁管理服务器、防火墙和资产管理系统作为安全响应节点,相邻上一安全响应节点输出数据后,当前安全响应节点开始执行;安全响应节点通过各自的输出响应连接成自动化的应急响应流程根据本申请的上述具体实施方式可知,至少具有以下有益效果:本申请通过结构化数据改进应急响应流程,加速安全事件的处置,提升安全威胁处置的能力;采用结构化数据作为各安全响应节点的输入和输出,上下游安全响应节点之间可以直接对话交互,不需要人工翻译或转换;整个安全事件可以从流程技术层面直接串联,无需人为干预;这将实现安全事件从产生到响应以及结束,可以实现无人参与,减少人的因素在过程中的干扰。本申请可以用于网络安全事件应急响应,也可用于运维、风控和工业自动化领域的各类系统交互流程设计与编排中。应了解的是,上述一般描述及以下具体实施方式仅为示例性及阐释性的,其并不能限制本申请所欲主张的范围。附图说明下面的所附附图是本申请的说明书的一部分,其示出了本申请的实施例,所附附图与说明书的描述一起用来说明本申请的原理。图1为本申请具体实施方式提供的一种网络安全应急响应方法的流程图。图2为本申请具体实施方式提供的一种网络安全应急响应方法中四个安全响应节点并行执行时的流程图。图3为本申请具体实施方式提供的一种网络安全应急响应方法中四个安全响应节点串行执行时的流程图。图4为本申请具体实施方式提供的一种网络安全应急响应系统的结构示意图。附图标记说明:1、应急响应服务器;2、杀毒软件;3、补丁管理服务器;4、防火墙;5、资产管理系统;6、短信网关。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚明白,下面将以附图及详细叙述清楚说明本申请所揭示内容的精神,任何所属
技术人员在了解本申请内容的实本文档来自技高网...
【技术保护点】
1.一种网络安全应急响应方法,其特征在于,包括以下步骤:/n获取原始事件信息;/n根据原始事件的需要,设置至少一个安全响应节点,安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能;各安全响应节点并行或串行执行其功能;/n对原始事件信息进行格式化处理,得到结构化输入数据;/n将得到的结构化输入数据作为安全响应节点的输入,当各安全响应节点串行执行相应功能时,上一级安全响应节点的输出作为当前安全响应节点的输入,用于启动当前安全响应节点,以使各安全响应节点按照预设的顺序顺次执行,自动化地完成安全事件响应。/n
【技术特征摘要】
1.一种网络安全应急响应方法,其特征在于,包括以下步骤:
获取原始事件信息;
根据原始事件的需要,设置至少一个安全响应节点,安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能;各安全响应节点并行或串行执行其功能;
对原始事件信息进行格式化处理,得到结构化输入数据;
将得到的结构化输入数据作为安全响应节点的输入,当各安全响应节点串行执行相应功能时,上一级安全响应节点的输出作为当前安全响应节点的输入,用于启动当前安全响应节点,以使各安全响应节点按照预设的顺序顺次执行,自动化地完成安全事件响应。
2.根据权利要求1所述的网络安全应急响应方法,其特征在于,所述各安全响应节点的输入包括执行对象和执行参数,其输出包括状态码和执行结果。
3.根据权利要求1所述的网络安全应急响应方法,其特征在于,所述安全响应节点设置有四个,各所述安全响应节点对应设置有杀毒软件、补丁管理服务器、防火墙和资产管理系统。
4.根据权利要求3所述的网络安全应急响应方法,其特征在于,各所述安全响应节点并行执行各自功能时,对原始事件信息进行格式化处理,得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据;将各安全响应节点的结构化输入数据分别输入各个安全响应节点,各安全响应节点并行执行。
5.根据权利要求4所述的网络安全应急响应方法,其特征在于,所述资产管理系统安全响应节点的结构化输出数据作为短信网关的输入,由所述短信网关向资产所有人发送提醒信息。
6.根据权利要求3所述的网络安全应急响应方法,其特征在于,各所述安全响应节点串行执行各自功能时,对原始事件信息进行格式化处理,得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据;杀毒软件安全响应节点的输出用于启动补丁管理服务器安全响应节点,补丁管理...
【专利技术属性】
技术研发人员:傅奎,王宏飞,张平,吴漂玉,
申请(专利权)人:上海雾帜智能科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。